报告警示黑客会在CVE公告披露15分钟内尝试扫描并利用漏洞

由 Palo Alto Networks 最新公布的报告《2022 版 Unit 42 事件响应报告》可知，黑客一直在密切监视软件供应商的警示公告板上是否有最新的 CVE 漏洞报告
，并且会在极短的黑客会 15 分钟内开始扫描易受攻击的端点。这意味着系统管理员修复已披露安全漏洞的公告时间 ，要远少于此前的披露预估
。

漏洞利用的分钟初始访问方式推测

Palo Alto Networks 在一篇专题博客文章中提到，随着威胁行为者竞相在漏洞修补前加以利用，内尝系统管理员将不得不打起 12 分精神。高防服务器试扫

更糟糕的描并是，由于漏洞扫描的利用漏洞技能要求并不高  ，所以水平较低的报告攻击者也可轻松筛选互联网上易受攻击的端点，并将有价值的警示发现抛售到暗网市场上牟利。

以 CVE-2022-1388 为例，黑客会Unit 42 指出这是公告一个严重影响 F5 BIG-IP 产品 、且未经身份验证的披露远程命令执行漏洞。

该漏洞于 2022 年 5 月 4 日披露，服务器租用但在 CVE 公告发布十小时后，他们就已记录 2552 次端点扫描和漏洞利用尝试 。

其次，报告指出“ProxyShell”是 2022 上半年被触及最多的漏洞利用链（特指 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207），占据了利用事件总数的 55%  。

Log4Shell 以 14% 紧随其后 ，各种 SonicWall CVE 占据了 7% 、ProxyLogon 占了 5%，而 Zoho ManageEngine ADSelfService Plus 中的远程代码执行（RCE）漏洞也有 3% 。

漏洞利用排行

统计数据表明 ，半旧（而不是模板下载最新）的缺陷，最容易被攻击者所利用 。发生这种情况的原因有许多，包括但不限于攻击面的大小、漏洞利用的复杂性、及其能够产生的实际影响。

有鉴于此，Palo Alto Networks 建议管理员尽快部署安全更新，以更好地避免系统成为零日 / CVE 公告发布初期的漏洞利用受害者 。

此外 Unit 42 报告指出，云计算利用软件漏洞开展初始网络破坏的方法 ，仅占到 1/3 左右。

在 37% 的案例中 ，网络钓鱼仍是许多攻击者的首选
。另外在 15% 的案例中，黑客也会利用泄露凭证
、或暴力破解来入侵网络。

而针对特权员工的社会工程技巧 、或贿赂流氓内部人员 ，也占所有漏洞攻击响应事件的建站模板 10% 左右 。

鉴于系统 / 网络 / 安全管理专业人员已经面临相当大的压力，报告建议组织机构尽量让设备远离互联网。

除了通过虚拟专用网（或其它安全网关）来限制对服务器的访问以降低风险
，非必要的公开端口和服务也必须尽量封堵上  。

最后就是养成勤快部署安全更新的习惯 ，尽管快速部署关键更新会导致一定时间的业务中断 ，但这总比面对遭遇全面网络攻击后难以弥补的局面要好得多。